Drupal เพิ่มช่องทาง HTTPS อุดช่องโหว่กระบวนการอัพเดท

หลังจากที่นักวิจัยด้านความปลอดภัยจาก IOActive ได้ออกมาเปิดเผยถึงช่องโหว่ใหญ่ 3 ประการในกระบวนการอัพเดทเฟิร์มแวร์ของ Drupal ระบบ CMS ชื่อดัง ซึ่งเสี่ยงต่อการดาวน์โหลดไฟล์ปลอมมาติดตั้งและถูกแฮ็คเว็บไซต์ได้ วันนี้ Drupal ได้เพิ่มช่องทางในการอัพเดทแบบ HTTPS และแก้ไขปัญหาในการอัพเดททั้งหมดเรียบร้อยแล้ว

ปัญหาในกระบวนการอัพเดท 3 ประการประกอบด้วย การไม่เข้ารหัสช่องทางการอัพเดทและไม่ตรวจสอบความถูกต้องของไฟล์, การไม่แจ้งเตือนการอัพเดทล้มเหลว และช่องโหว่ CSRF ที่บังคับให้ตรวจสอบการอัพเดทตลอดเวลา ซึ่งปัญหาเหล่านี้ส่งผลให้แฮ็คเกอร์สามารถโจมตีแบบ Man-in-the-Middle เพื่อส่งเฟิร์มแวร์แบบ Backdoor สำหรับใช้แฮ็คเว็บไซต์ของผู้ใช้บริการเว็บไซต์ได้ทันที

techtalkthai_it_problem_solving_08

เพิ่มช่องทาง HTTPS แก้ไขปัญหาการไม่เข้ารหัส

หลังจากที่ทีมรักษาความปลอดภัยของ Drupal ทราบข่าว ก็ได้ทำการปรับปรุงแก้ไขกระบวนการอัพเดทให้รองรับการใช้งานแบบ HTTPS เพื่อขจัดปัญหาเรื่องการโจมตีแบบ Man-in-the-Middle ทิ้งไป ผู้ดูแลระบบสามารถอัพเดทเฟิร์มแวร์ผ่าน HTTPS ได้โดยใช้ Drush ซึ่งเป็น Command-line Shell และ Scripting Interface ยอดนิยมสำหรับ Drupal ได้ทันที นอกจากนี้ ลิงค์สำหรับดาวน์โหลดเฟิร์มแวร์ทั้งหมดก็ถูกปรับเป็น HTTPS ด้วยเช่นกัน แต่สำหรับ Core Update Status Module นั้น ขณะนี้กำลังอยู่ในกระบวนการแก้ไข คาดว่าจะถูกเปลี่ยนเป็นช่องทาง SSLในการอัพเดทครั้งถัดไป

เปิดเคสสำหรับติดตามและขอความร่วมมือในการแก้ไขปัญหาที่เหลือ

สำหรับปัญหาเรื่องการไม่แจ้งเตือนการอัพเดทล้มเหลว และช่องโหว่ CSRF นั้น ทาง Drupal ได้ให้คำแนะนำในการรับมือกับปัญหาชั่วคราว แต่ยังไม่ได้ออกแพทช์เพื่อแก้ไขปัญหาแต่อย่างใด อย่างไรก็ตาม ทีมรักษาความปลอดภัยของ Drupal ได้เปิดเคสสำหรับติดตามและแก้ไขปัญหาดังกล่าว รวมทั้งขอความร่วมมือกับนักพัฒนาในการสร้างแพทช์เพื่ออุดช่องโหว่เหล่านี้ สามารถดูรายละเอียดได้ที่ https://www.drupal.org/node/2646306 และ https://www.drupal.org/node/2646328

ที่มา: https://groups.drupal.org/node/506128



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Cisco แพตช์ช่องโหว่ร้ายแรงใน Firepower Management และผลิตภัณฑ์อื่นกว่า 26 รายการแนะผู้ใช้เร่งอัปเดต

Cisco ได้ประกาศ Advisory สำหรับช่องโหว่ต่างๆ กว่า 27 รายการ โดยมีช่องโหว่ร้ายแรง 1 รายการกระทบกับซอฟต์แวร์ Firepower Management Center จึงแนะนำให้ผู้ใช้งานเร่งอัปเดตครับ

Microsoft ประกาศเหตุคอนฟิค Rule ผิด เปิดเข้าถึงข้อมูลลูกค้าได้กว่า 250 ล้านรายการ

Microsoft ได้ประกาศถึงเหตุการความผิดพลาดโดยไม่ตั้งใจสาเหตุจากการคอนฟิค Security Rule ของ Azure ที่เกี่ยวข้องกับเซิร์ฟเวอร์ฐานข้อมูล Customer Support ส่งผลให้ข้อมูลกว่า 250 ล้านรายการสามารถถูกเข้าถึงได้ แต่ยังไม่มีรายงานพบการนำข้อมูลไปใช้ในทางที่ไม่ดี